社内の生成AI利用ガイドラインの作り方。
そのまま使えるひな形つき
中小企業が生成AI(Claude)を安全に使うための社内ガイドラインの作り方を解説。入力禁止情報、確認ルール、用途、責任の所在をどう決めるか。コピーして使える章立てひな形つきで、個人情報・機密の配慮もわかります。
「現場が勝手に生成AIを使い始めて、ちょっと不安…」「便利なのは分かるけれど、お客様の情報を入れて大丈夫なの?」——多くの中小企業が、同じ悩みにぶつかります。かといって「全面禁止」では、せっかくの効率化のチャンスを逃してしまう。答えは、短くてもいいので“社内ルール”を1枚決めることです。この記事では、難しい法律用語を使わず、生成AI利用ガイドラインの作り方を、そのままコピーして使える章立てのひな形つきで解説します。
- ガイドラインに最低限入れるべき「4つの柱」
- 入力してはいけない情報・OKな用途の線引きの考え方
- そのままコピーして使える「章立てひな形」
- 作っても守られない…を防ぐ運用のコツ
ガイドラインに必要な「4つの柱」
立派な規程集を作る必要はありません。中小企業ならまず、次の4つの柱を押さえれば十分に機能します。難しく考えず、この3方向+責任の所在で整理してみましょう。
入力禁止情報を決める
- 個人情報・マイナンバー
- 顧客情報・取引先の機密
- 未公開の経営情報・パスワード
用途と使うツール
- OKな業務・NGな業務
- 会社が許可したサービス
- 下書き止まりか、最終利用か
確認ルールと責任
- 人による最終チェック
- 出典・事実の確認
- 困ったときの相談先
このうち、いちばん大事なのは柱1の「入力禁止情報」です。生成AIのトラブルの多くは、「入れてはいけない情報を入れてしまった」ことから起きます。まずここから決めましょう。
柱ごとの決め方と、ひな形の文例
1入力禁止情報:「これは入れない」を具体的に
決め方のコツ:抽象的な「機密」ではなく、具体例で書くこと。氏名・住所・電話番号・マイナンバー・口座情報・顧客リスト・未公開の財務情報・ID/パスワード——自社で扱う情報を思い浮かべながらリスト化します。固有名詞や数字は伏せ、「内容や手順だけを相談する」使い方を基本に。
2用途:「OKな仕事・NGな仕事」を線引きする
決め方のコツ:禁止リストより「OKリスト」を先に。文章のたたき台づくり、要約、言い換え、アイデア出しなど“下書き用途”は積極的に許可し、契約・採用・与信・医療など人の判断が重い領域は「補助のみ・最終判断は担当者」と決めます。許可された範囲が明確だと、安心して使えます。
3確認ルール:AIの答えを「うのみにしない」
決め方のコツ:生成AIは事実と違う内容をもっともらしく書くことがあります。「人が必ず最終確認する」を1行入れるだけで、多くの事故が防げます。とくに数字・日付・固有名詞・法令や制度に関わる内容は、必ず一次情報で裏取りを。
4責任の所在:「誰が決め、誰に相談するか」
決め方のコツ:ルールを管理する担当者(情報管理の責任者など)と、現場が気軽に聞ける相談窓口を必ず置きます。「うっかり入れてしまった」ときも、隠さずすぐ報告できる空気が、いちばんの安全策です。AIが使った結果の最終的な責任は会社・利用者にあることも明記しておきましょう。
そのまま使える「章立てひな形」
下のひな形を社内文書に貼り付け、( )を自社に合わせて埋めるだけで、A4・1〜2枚のガイドラインが完成します。最初から完璧を目指さず、まず運用を始めるのが正解です。
無理なく始める、4ステップ
ガイドラインは「作って終わり」ではなく、小さく作って・使いながら育てるのがうまくいくコツです。
たたき台をAIに作らせる
上のひな形をもとに、生成AI自身に下書きを作ってもらいます。自社の業種を伝えると、より具体的になります。
禁止情報と窓口を埋める
自社が扱う個人情報・機密を具体例で書き、相談窓口の担当を決めます。ここが最重要です。
1枚に絞って全員へ共有
A4・1〜2枚に収め、朝礼や社内チャットで周知。短い説明会を1回開くと定着します。
使いながら見直す
困りごとや良い使い方が出てきたら追記。半年に一度など、定期的に更新します。
よくある失敗と、その回避策
✕ 禁止事項ばかりで、結局誰も読まない
→ 回避策:「NG」だけでなく「これはOK」という許可リストを先に。短く・読みやすく・1〜2枚に。禁止より「安心して使える範囲」を伝えるほうが、現場は動きます。
✕ 「機密はダメ」とだけ書いて、判断を現場任せにする
→ 回避策:何が機密かは人によって解釈が違います。具体例つきで禁止情報を列挙し、「迷ったら入れない・相談する」を明文化しましょう。
✕ サービスの仕様を確認せずにルールを固める
→ 回避策:入力データの扱い(学習に使われるか等)は、サービス・プラン・契約で異なり、変更もされます。最新の公式情報を確認し、判断に迷う点は契約内容を踏まえて専門家に相談を。社内では「会社が許可したアカウントのみ使用」と決めておくと安全です。
コピーして使える、プロンプト集
( )を自社の内容に差し替えるだけ。たたき台づくりや社内周知に使えます。
まとめ
- ガイドラインは「入力禁止情報・用途・確認ルール・責任の所在」の4つの柱を、A4・1〜2枚で。
- 禁止だらけにせず「OKな使い方」と「相談窓口」をセットにすると守られる。
- 個人情報・機密の扱いは慎重に。サービスの仕様は変わるため最新の公式情報を確認し、迷う点は専門家へ。
本記事は一般的な考え方の整理であり、法的助言ではありません。個別の契約・規程の判断は、専門家や各サービスの公式情報をご確認ください。当社では、社内ルール作りや定着までを研修でご支援しています。
あわせて読みたい
社内に根づかせる進め方はAI内製化の進め方を、ツール選びの観点はClaudeとChatGPTの違いを、個人情報の配慮が特に重要な現場は介護・医療の生成AI活用をご覧ください。
よくある質問
ガイドラインは何ページくらい必要ですか?
最初はA4で1〜2枚で十分です。長く立派なものより、全員がすぐ読めて守れる短いものを。「入力禁止情報」「用途」「確認ルール」「困ったときの連絡先」が入っていれば、まず運用を始められます。使いながら追記していきましょう。
個人情報や機密を入力してしまったら、どうすればいいですか?
まず社内の窓口(情報管理の担当者など)にすぐ報告してください。利用しているサービスの設定や契約内容によって対応が変わるため、自己判断で隠さないことが大切です。最終的な判断は、社内の責任者や必要に応じて専門家に相談しましょう。ガイドラインには「報告先」を必ず書いておきます。
無料版と有料版・法人版で、ルールは変える必要がありますか?
入力したデータの扱い(学習に使われるか等)は、サービスやプラン・契約によって異なります。最新の仕様は各サービスの公式情報で必ず確認し、社内では「会社が許可したサービス・アカウントを使う」と決めるのが安全です。判断に迷う場合は、契約内容を踏まえて専門家に確認してください。
ガイドラインを作っても、結局守られない気がします。
禁止だらけにすると形だけになりがちです。「これはOK」という許可リストと、迷ったときの相談先をセットにすると守られやすくなります。短い研修や、良い使い方の共有もあわせて行うと、ルールが自然に根づきます。